Когда вы делаете пилот или внедрение Positive Technologies Network Attack Discovery, то нужно передать копию трафика в это многофункциональное устройство сетевой безопасности для анализа движками DPI, IDS, ML, TI, NTA и последующего анализа и отправки файлов из трафика в песочницу и антивирус, чтобы обнаружить направленные на вас атаки и взломанные хосты.
Если это физическая сеть, то варианты подключения
- зеркальный или SPAN порт свитча или роутера
- RSPAN/ERSPAN - тоже зеркальный порт, но трафик передается аж с других свитчей через выделенный VLAN для Remote SPAN или вообще через GRE для ERSPAN.
Если это среда виртуализации, то варианты получения трафика из гипервизора:
- promiscous mode порт в distributed switch на котором подключается виртуальный NAD и все мы понимаем, что виртуальная машина все-таки работает медленнее, чем внешний аппаратный PT NAD
- SPAN порт на свитче, на котором работают различные сервера с виртуализацией, и тогда мы не видим внутренний трафик внутри гипервизора каждой системы виртуализации, но зато мы видим трафик идущий внутри VXLAN или GENEVE
- ERSPAN, то есть также мы инкапсулируем внутри гипервизора наш трафик внутрь туннеля GRE и отдаем в NAD снаружи сервера
- Virtual TAP или vTAP - программный продукт, который забирает трафик из виртуализации/гипервизора и отдает на внешний аппаратный NAD
Аппаратный TAP это устройство с тремя портами: два порта это вход и выход какого-то канала, и третий порт это копия трафика, которую отдаем на NAD. Нужно понимать, что в случае с оптикой каждый порт - это по сути два кабеля внутри.
Случай с vTAP описан хорошо у этого производителя profitap.com/vtap/ Это программная реализация, позволяющая забрать трафик из сервера виртуализации и отдать наружу, как показано на картинке. Российский производитель VASexperts говорят тоже делает такой софт
Основные сложности подключения SPAN в том, что сетевые администраторы обоснованно боятся за производительность своих устройств: делать копию трафика это всегда накладно и админы часто саботируют данное подключение. То есть безопасники тратят время на их убеждение. В общем это становится вопросом политическим иногда. Админы даже иногда сознаются, что боятся, что их самих начнут контролировать таким образом. Плюс потом еще мы почему-то траблшутим работу этих двух команд на роутере для настройки, хотя казалось бы чего проще:
Свитчи и роутеры дают процессу создания копии трафика самый низкий приоритет. То есть, если свитч или роутер загрузился какой-то более важной задачей, то трафик в SPAN порт просто не будет скопирован, данные потеряются. А мы ведь разбираем трафик приложений движком DPI и разбираем протоколы по 1200 полям и еще и собираем из пакетов файлы из трафика для проверки по хешам или для отправки в песочницу по ICAP. Например, если по NFS или SMB идет файл и мы теряем один пакет, то файл уже нельзя собрать полностью и отправить для анализа в песочницу без этого пакета. А там мог идти криптолокер Wannacy...
Идеальным решением для пилотов и внедрений являются TAP и vTAP, поскольку они не теряют пакеты и отдают весь трафик полностью. Минусом для работы сети является то, что они включаются в разрыв, и сеть должна "мигнуть" один раз при их подключении. Что в общем не страшно, если используется High Availability внутри сети.
Ну и фактом является, что TAP устройства надо купить.
Еще одним устройством полезным является сетевой брокер: он может не просто забирать трафик из сети, не трогая психику сетевых админов, а еще проводить с трафиком действия: балансировать, дублировать, дедуплицировать и так далее
Многие организации полагаются на двухфакторную аутентификацию для предотвращения использования украденых аккаунтов сотрудников. Для этого в дополнение к паролю запрашивают еще подтверждение от аппаратного токена в USB порту или из приложения в смартфоне или просто код из СМС. И сегодня это обязательное правило гигиены для удаленного доступа к ресурсам вашей компании.
Если у вас есть, вера в то, что это 100% защита, то вы просто не читаете новости. За примером далеко ходить не нужно: вы только что слышали новость от Александра Антипова про обход двухфакторной аутентификации в Microsoft Outlook. И таких новостей было много... и еще будут.
К счастью, даже если злоумышленник обошел этот тип защиты в вашей компании, то есть другие типы защиты, которые увидят взлом и остановят, например, системы поведенческого анализа.
Я считаю, что вы должны знать самые частые способы обхода двухфакторной аутентификации.
Обсудим их!
Выключение двухфакторной аутентификации
Существуют различные методики выключения MFA, причем вполне себе легитимные и встроенные в сами системы. Например, если это аппаратный токен YubiKey, то существует методика сказать системе защиты, что вы работаете сейчас с iPad. И тогда система скажет сама себе: так там же нет порта USB и человеку не может вставить токен... и не будет его запрашивать. Все - вы залогинились без второго фактора!
Явный обход MFA
Здесь хакер просит вас же аутентифицироваться за него, как это кстати и было сделано в июле 2022 года для Microsoft Outlook, когда злоумышленник использует ваши же cockies для несанкционированного доступа к вашей электронной почте. Сюда же входит перехват СМС или перехват работы приложения, которое проводит аутентификацию на вашем смартфоне.
Другой интересный факт, что в системах MFA часто по-умолчанию настроено, что человек может заходить без второго фактора, если облачный сервис для проверки второго фактора недоступен. Соответственно в успешных атаках злоумышленник просто запрещал на вашем же песональном firewall доступ к серверу аутентификации, агент думал что система аутентификации недоступна и пускал и так.
Помните историю про коменданта в книге "Золотой теленок", который у всех входящих строго требовал пропуск, но если ему пропуска не давали, то он пускал и так? Ильф и Петров что-то знали ) Вход без второго фактора вообще-то легитимный метод, который мог разрешить ваш администратор и он называется bypass. Проверьте, а как у вас настроен bypass в MFA?
Эксплуатация разрешенных исключений
Существуют аккаунты для которых выключена проверка второго фактора: для работы системных служб или сервисов, или которые не умеют подключать второй фактор, например, POP3/SMTP почта. Злоумышленники находят такие аккаунты и пользуются.
Кража сертификата подписи SAML
Эта техника использовалась в том числе во время взлома SolarWinds. Язык разметки SAML (Security Assertion Markup Language) представляет собой открытый стандарт на основе XML для обмена данными аутентификации и авторизации между сторонами процесса. И он естественно зашифрован. Но если хакер получает доступ к приватному ключу, на котором подписывают все сертификаты, то он получает возможность видеть и менять все атрибуты доступа во время работы SAML. Ну и собственно видеть кто входит в систему и пускать самого себя в систему.
Переиспользование авторизованной сессии
Часто многофакторные системы имеют период в течение которого сессия действует. Если хакер взломал систему, которая уже имеет доступ к нужному ему ресурсу, то ему не нужно даже пытаться аутентифицироваться - доступ уже есть у взломанного компьютера, либо преступник просто ждет. когда сотрудник сам зайдет в нужную систему. Если это бухгалтер, то он так делает несколько раз в день.
Вывод
Многофакторная аутентификация может замедлить и даже остановить многие типы атак. Да, как и многие другие механизмы безопасности ее можно обойти. Организации должны поменять свой взгляд на защиту: мы сегодня не можем гарантированно остановить взломы, мы можем снизить ущерб от атак. Точек входа в информационную систему организации сегодня слишком много и мы можем только быть настойчивы в выявлении каждого нового проникновения и выдворении злоумышленника и его утилит из нашей сети. Для этого в компании Positive Technologies для вас трудится 1300 человек.